Pesquisadores da empresa de segurança cibernética Forescout descobriram nove vulnerabilidades que afetam nove diferentes pilhas TCP/IP amplamente utilizadas em dispositivos IoT e de tecnologia operacional (OT). Segundo eles, as vulnerabilidades decorrem da fraca geração do número de sequência inicial (ISN) e podem ser exploradas para ataques de negação de serviço (DoS) contra dispositivos vulneráveis, seja para injetar dados maliciosos em um dispositivo ou para contornar a autenticação.
TCP é um protocolo de rede para conexão que permite que dois terminais troquem dados. É um dos protocolos usados na camada de transporte TCP/IP e visa a entrega ordenada e com verificação de erros de dados entre os terminais da rede.
“Os ISNs garantem que cada conexão TCP entre dois dispositivos seja única e que não haja colisões, evitando que terceiros interfiram em uma conexão em andamento. Para garantir essas propriedades, os ISNs devem ser gerados aleatoriamente para que um invasor não consiga adivinhar um ISN e sequestrar uma conexão em andamento ou falsificar uma nova”, explicam os pesquisadores.
Mas, segundo eles, infelizmente, as pilhas vulneráveis não estão usando um gerador de números pseudo-aleatórios (PRNG) para gerar valores ISN ou usam um algoritmo PRNG fraco.
Veja isso
Vulnerabilidades em protocolo GPRS expõem redes 4G e 5G
Gartner defende modelo explícito de confiança zero de cibersegurança
Os pesquisadores analisaram 11 pilhas TCP/IP, sete das quais são de código aberto (uIP, FNET, picoTCP, Nut/Net, lwIP, cycloneTCP e uC/TCP-IP), e o restante inclui MPLAB Net da Microchip, NDKTCPIP da Texas Instruments , Nanostack da ARM e Nucleus NET da Siemens.
Eles descobriram que o lwIP e o Nanostack não eram vulneráveis, mas o restante sim, e que as vulnerabilidades permitem que os invasores prevejam o ISN de conexões TCP existentes ou novas.
Patch e mitigação
A boa notícia é que a maioria dos fornecedores já emitiu patches ou orientações de mitigação, embora os desenvolvedores do Nut/Net ainda estejam trabalhando em uma solução e os desenvolvedores do uIP ainda não tenham respondido ao relatório da Forescout.
A má notícia é que remendar todos os dispositivos afetados — e isso inclui dispositivos médicos, sistemas de monitoramento de turbinas eólicas, unidades terminais remotas e sistemas de armazenamento de TI, entre outros — é improvável, porque os dispositivos incorporados são notoriamente difíceis de gerenciar e atualizar, pois geralmente fazem parte da infraestrutura de missão crítica.
No entanto, eles aconselharam os administradores a descobrir e inventariar dispositivos que executam uma pilha TCP/IP vulnerável e fornecer um script de código aberto que pode ajudá-los) e implementar um patch quando possível.
“Para dispositivos IoT e OT vulneráveis, use a segmentação para minimizar a exposição da rede e a probabilidade de comprometimento, sem afetar as funções essenciais ou as operações de negócios. A segmentação e o zoneamento também limitam o raio de explosão e o impacto nos negócios se um dispositivo vulnerável for comprometido”, recomendam os pesquisadores.
Finalmente, a implantação do IPsec pode ajudar na defesa contra spoofing de TCP e ataques de redefinição de conexão.